docker run -d \
    --name tailscale \
    --hostname xxx \
    --cap-add NET_ADMIN \
    --device /dev/net/tun:/dev/net/tun \
    --network host \
    -e TS_ACCEPT_DNS=false \
    -e TS_AUTHKEY=key \
    -e TS_USERSPACE=false \
    -e TS_AUTH_ONCE=true \
    -e TS_STATE_DIR=/var/lib/tailscale \
    # 相当于 tailscale set --advertise-routes=
    # TS_EXTRA_ARGS 需要传入 --accept-routes
    -e TS_ROUTES=xxx \
    -e TS_EXTRA_ARGS="--login-server=https://xx.xx.xx" \
    -v ./tailscale:/var/lib/tailscale \
    --restart unless-stopped \
    tailscale/tailscale:latest